Questions d'ordre général

Qu'est-ce qu'AWS Single Sign-On (AWS SSO) ?

AWS SSO est un service AWS qui vous permet d'utiliser les informations d'identification existantes de votre annuaire Microsoft Active Directory pour accéder à vos applications basées sur le cloud, telles que vos comptes AWS et vos applications métier (Office 365, Salesforce et Box), à l'aide de l'authentification unique (SSO).

Quels sont les avantages d'AWS SSO ?

Vous pouvez utiliser AWS SSO pour accorder et gérer rapidement et facilement l'accès de vos employés à plusieurs comptes AWS, à des applications SAML basées sur le cloud (par ex., Salesforce, Office 365 et Box) et à des applications internes conçues sur mesure, le tout depuis un seul et même endroit. Les employés peuvent être plus productifs en se connectant avec les identifiants de leurs comptes professionnels existants sur Active Directory ou avec ceux que vous configurez dans AWS SSO pour leur permettre d’accéder à leurs applications depuis leur portail utilisateur personnalisé. Désormais, les employés n'ont plus besoin de mémoriser plusieurs jeux d'informations d'identification ni les URL d'accès aux applications cloud. De plus, les nouveaux employés sont productifs dès le premier jour. Les utilisateurs que vous ajoutez au groupe approprié dans votre annuaire ont automatiquement accès aux comptes et applications activés pour les membres du groupe. Vous bénéficiez d'une meilleure visibilité sur l'utilisation des applications cloud, car vous pouvez surveiller et contrôler les activités de connexion de façon centralisée depuis AWS CloudTrail.

Quels sont les problèmes résolus par AWS SSO ?

AWS SSO élimine la complexité administrative des solutions d'authentification unique (SSO) personnalisées que vous utilisez pour allouer et gérer les identités entre les comptes AWS et les applications métier. Lorsque vous utilisez plusieurs comptes AWS et que vous ajoutez des comptes régulièrement, la configuration de SSO avec Active Directory Federation Services (AD FS) pour accéder à ces comptes nécessite l'apprentissage du langage de programmation personnalisé basé sur les revendications AD FS. Vous devez également préparer les comptes AWS avec les autorisations nécessaires pour pouvoir accéder à ces comptes. AWS SSO est disponible sans frais supplémentaires et réduit la complexité liée à la configuration répétitive et à la gestion disparate en s'intégrant étroitement à AWS. Si vous utilisez des mots de passe distincts pour accéder à différents comptes AWS ou différentes applications cloud, AWS SSO simplifie l'expérience utilisateur et améliore la sécurité en éliminant les mots de passe individuels nécessaires pour chaque compte AWS ou application métier basée sur le cloud. Le service résout également le problème de la visibilité limitée de l'accès à vos applications cloud en s'intégrant à AWS CloudTrail et en fournissant un seul emplacement pour vous permettre de contrôler l'accès par authentification unique (SSO) aux comptes AWS et aux applications SAML basées sur le cloud, telles qu'Office 365, Salesforce et Box.

Pourquoi utiliser AWS SSO ?

Nous vous recommandons d'utiliser AWS SSO pour aider vos employés à gagner en productivité rapidement en leur accordant un accès aux comptes AWS et aux applications métier basées sur le cloud, sans écrire de scripts personnalisés ni investir dans des solutions SSO universelles. Nous vous conseillons également d'utiliser AWS SSO pour réduire la complexité administrative et le coût de configuration et de gestion de l'accès par authentification unique (SSO).

AWS SSO permet à vos employés d'accéder à vos comptes AWS et aux applications dont ils ont besoin dans le cadre de leur travail depuis le portail utilisateur AWS SSO, peu importe où ces applications ont été créées et où elles sont hébergées.

Que puis-je faire avec AWS SSO ?

Vous pouvez utiliser AWS SSO pour accorder rapidement et facilement à vos employés un accès à des comptes AWS gérés à l'aide d'AWS Organizations, à des applications métiers basées sur le cloud (par ex., Salesforce, Office 365 et Box) et à des applications personnalisées prenant en charge le protocole SAML (Security Assertion Markup Language) 2.0. Les employés peuvent se connecter à l'aide des identifiants de leurs comptes professionnels ou des identifiants qu’ils ont eux-mêmes configurés dans AWS SSO pour accéder à leurs applications métiers depuis un portail utilisateur unique. AWS SSO vous permet également de contrôler l'accès des utilisateurs aux services cloud à l'aide d'AWS CloudTrail.

À qui s'adresse AWS SSO ?

AWS SSO s'adresse aux administrateurs qui gèrent plusieurs comptes AWS et applications métier, qui souhaitent gérer de façon centralisée l'accès des utilisateurs à ces services de cloud et qui désirent mettre à disposition des employés un endroit unique pour leur permettre d'accéder à ces comptes et applications sans qu'ils aient besoin de mémoriser un nouveau mot de passe.

Comment démarrer avec AWS SSO ?

En tant que nouveau client d'AWS SSO, vous devez suivre la procédure suivante :

  1. Connectez-vous à AWS Management Console depuis le compte principal de votre compte AWS et accédez à la console AWS SSO.
  2. Sélectionnez l'annuaire de stockage des identités de vos utilisateurs et de vos groupes depuis la console AWS SSO. AWS SSO vous fournit un annuaire par défaut que vous pouvez utiliser pour gérer les utilisateurs et les groupes dans AWS SSO. Vous avez également la possibilité de changer d'annuaire et de vous connecter à un annuaire Microsoft AD en cliquant sur une liste d'instances Microsoft AD et AD Connector gérées qu’AWS SSO découvre automatiquement dans votre compte. Si vous désirez vous connecter à un annuaire Microsoft AD, consultez Premiers pas avec AWS Directory Service.
  3. Accordez aux utilisateurs un accès par authentification unique (SSO) aux comptes AWS de votre organisation en sélectionnant les comptes AWS dans une liste pré-remplie par AWS SSO, puis en choisissant les utilisateurs ou groupes dans votre annuaire, ainsi que les autorisations que vous souhaitez leur accorder. 
  4. Accordez aux utilisateurs un accès aux applications métiers basées sur le cloud en :
    1. Sélectionnant l'une des applications de la liste des applications pré-intégrées prises en charge dans AWS SSO
    2. Configurant l'application selon les instructions appropriées
    3. Sélectionnant les utilisateurs ou groupes qui doivent pouvoir accéder à cette application.
  5. Communiquez à vos utilisateurs l'adresse de connexion Web AWS SSO générée lorsque vous avez configuré le répertoire. Il en ont besoin pour s'inscrire à AWS SSO ainsi que pour accéder aux comptes et aux applications métiers.

Combien coûte AWS SSO ?

AWS SSO est disponible sans frais supplémentaires.

Dans quelles régions AWS le service AWS SSO est-il disponible ?

Pour connaître la disponibilité d'AWS SSO par région, consultez le tableau des régions AWS.

Prise en charge des annuaires et applications

Quels annuaires puis-je utiliser avec AWS SSO ?

Vous pouvez créer et gérer les utilisateurs dans AWS SSO à l’aide de l'annuaire que AWS SSO vous fournit par défaut. Vous pouvez aussi connecter AWS SSO à Microsoft Active Directory actif sur site ou dans le cloud AWS. AWS SSO prend en charge AWS Directory Service for Microsoft Active Directory, également appelé AWS Managed Microsoft AD, ainsi qu’AD Connector. AWS SSO ne prend pas en charge Simple AD. Pour en savoir plus, consultez la page relative à la mise en route d'AWS Directory Service.

Puis-je utiliser les groupes d'utilisateurs Amazon Cognito en tant que répertoire connecté dans AWS SSO ?

Pas à l'heure actuelle AWS SSO prend désormais en charge la création et la gestion des utilisateurs dans AWS SSO ou leur connexion à Microsoft Active Directory. D'autres types de répertoires seront éventuellement ajoutés au fil du temps en fonction des commentaires et des demandes des clients.

Quelles applications basées sur le cloud puis-je connecter à AWS SSO ?

Vous pouvez connecter les applications suivantes à AWS SSO :

  1. AWS Management Console : vous pouvez configurer un accès par authentification unique (SSO) à AWS Management Console.
  2. Applications SaaS tierces : AWS SSO pré-intègre des applications métier couramment utilisées. Pour obtenir la liste complète des applications, reportez-vous à la console AWS SSO.
  3. Applications SAML personnalisées : AWS SSO prend en charge les applications qui autorisent la fédération d'identité à l'aide du protocole SAML 2.0. Pour les applications qui ne sont pas pré-intégrées à AWS SSO, vous pouvez configurer l'authentification unique (SSO) à l'aide de l'assistant de configuration des applications personnalisées AWS SSO.

Je gère des utilisateurs et des groupes dans un annuaire Active Directory sur site. Comment connecter mon annuaire à AWS SSO ? 

Pour connecter un annuaire Active Directory hébergé sur site à AWS SSO, deux possibilités s'offrent à vous : (1) utiliser une relation d'approbation AWS Managed Microsoft AD ou (2) utiliser le connecteur AD.

AWS Managed Microsoft AD crée un annuaire Active Directory entièrement géré dans le cloud AWS et peut permettre de configurer une relation d'approbation interforêt entre votre annuaire sur site et AWS Managed Microsoft AD. Pour configurer une relation d'approbation, consultez la section relative à la création d'une relation d'approbation.

Le connecteur AD est une passerelle d'annuaire qui peut rediriger des demandes d'annuaire vers votre annuaire Microsoft Active Directory sur site, sans mettre d'informations en cache dans le cloud. Pour connecter un annuaire sur site à l'aide d’AD Connector, consultez la section relative au AD Connector.

Je gère des utilisateurs et des groupes dans AWS Identity and Access Management (IAM). Puis-je connecter mon annuaire à AWS SSO ? 

AWS SSO ne prend pas en charge les utilisateurs et les groupes AWS IAM à l'heure actuelle.

Puis-je connecter plusieurs annuaires à AWS SSO ? 

Non. Un seul annuaire à la fois peut être connecté à AWS SSO. Cependant, vous pouvez changer d'annuaire comme bon vous semble.

Accès par authentification unique (SSO) à vos comptes AWS

Quels comptes AWS puis-je connecter à AWS SSO ?

Vous pouvez ajouter un compte AWS géré à AWS SSO en utilisant AWS Organizations. Vous devez activer toutes les fonctionnalités de vos organisations pour gérer vos comptes SSO.

Comment configurer SSO sur les comptes AWS d'une unité d'organisation (UO) au sein de mon organisation ?

Vous pouvez sélectionner des comptes au sein de l'organisation ou filtrer des comptes par UO.

Comment contrôler les autorisations accordées aux utilisateurs lorsqu'ils accèdent à leur compte à l'aide de l'authentification unique (SSO) ?

Lorsque vous accordez un accès par authentification unique aux utilisateurs, vous pouvez limiter leurs autorisations en sélectionnant un ensemble d'autorisations. Les ensembles d'autorisations sont un groupe d'autorisations que vous pouvez créer dans AWS SSO, en les modélisant sur la base de stratégies gérées par AWS pour les fonctions professionnelles ou de toute autre stratégie gérée par AWS. Les stratégies gérées par AWS pour les fonctions professionnelles sont conçues de manière à s'aligner étroitement sur les tâches courantes du secteur de l'informatique. Si nécessaire, vous pouvez entièrement personnaliser l'ensemble d'autorisations pour répondre à vos exigences en matière de sécurité. AWS SSO applique automatiquement ces autorisations aux comptes sélectionnés. Lorsque vous apportez des modifications aux ensembles d'autorisations, AWS SSO vous permet d'appliquer facilement ces dernières aux comptes concernés. Lorsque les utilisateurs accèdent aux comptes via le portail utilisateur AWS SSO, ces autorisations limitent leurs activités au sein de ces comptes. Vous pouvez également accorder plusieurs ensembles d'autorisations aux utilisateurs. Lorsqu'ils accèdent au compte via le portail utilisateur, ils peuvent choisir l'autorisation dont ils souhaitent disposer pour cette session.

Pour quel compte AWS puis-je obtenir des informations d'identification pour l'interface de ligne de commande (CLI) AWS ?

Vous pouvez obtenir des informations d'identification pour la CLI AWS pour toutes les permissions de compte et d'utilisateur AWS que votre administrateur AWS SSO vous a attribuées. Ces informations d'identification pour la CLI peuvent être utilisées pour un accès par programmation au compte AWS.

Combien de temps les informations d'identification de l'interface de ligne de commande AWS sont-elles valides pour le portail utilisateur d'AWS SSO ?

Les informations d'identification pour la CLI AWS récupérées par le portail utilisateur d'AWS SSO sont valides pendant 60 minutes. Vous pouvez obtenir de nouvelles informations d'identification aussi souvent que nécessaire.

Accès par authentification unique (SSO) aux applications métier

Comment configurer l'authentification unique (SSO) sur les applications métier telles que Salesforce ?

Dans la console AWS SSO, accédez au volet des applications, choisissez « Configure new application » et sélectionnez une application dans la liste des applications cloud pré-intégrées à AWS SSO. Suivez les instructions à l'écran pour configurer l'application. Votre application est désormais configurée. Vous pouvez autoriser l'accès à cette dernière. Choisissez les groupes ou les utilisateurs que vous souhaitez autoriser à accéder à l'application, puis sélectionnez l'option « Assign Access » pour terminer le processus.

Mon entreprise utilise des applications métier que ne figurent pas dans la liste des applications pré-intégrées à AWS SSO. Puis-je tout de même utiliser AWS SSO ?

Oui. Si votre application prend en charge le protocole SAML 2.0, vous pouvez la configurer en tant qu'application SAML 2.0 personnalisée. Dans la console AWS SSO, accédez au volet des applications et choisissez l'option « Configure new application », puis « Custom SAML 2.0 application ». Suivez les instructions pour configurer l'application. Votre application est désormais configurée. Vous pouvez autoriser l'accès à cette dernière. Choisissez les groupes ou les utilisateurs que vous souhaitez autoriser à accéder à l'application, puis sélectionnez l'option « Assign Access » pour terminer le processus.

Mon application prend uniquement en charge le protocole OpenID Connect (OIDC). Puis-je configurer l'authentification unique (SSO) à l'aide d'AWS SSO ?

Non. AWS SSO prend uniquement en charge les applications basées sur le protocole SAML 2.0.

Est-ce qu'AWS SSO prend en charge l'authentification unique pour les applications mobiles et de bureau natives ?

Non. AWS SSO prend en charge l'authentification unique pour les applications métier uniquement depuis un navigateur Web. 

Divers

Quelles données le service AWS SSO stockera-t-il en mon nom ?

AWS SSO stockera les données concernant l'attribution des comptes AWS et des applications cloud aux différents utilisateurs et groupes, ainsi que l'octroi des différentes autorisations d'accès aux comptes AWS. AWS SSO créera et gérera également les rôles IAM des comptes AWS individuels pour chaque ensemble d'autorisations auquel vous accordez l'accès aux utilisateurs.

Le service AWS SSO prend-il en charge l'authentification multi-facteurs (MFA) ?

Oui. Vous pouvez permettre ou exiger des utilisateurs qu’ils mettent en place une application d’authentification multifacteur sur leurs téléphones ou vous pouvez exiger des utilisateurs qu'ils fournissent un facteur supplémentaire pour se connecter à AWS SSO en exploitant un serveur RADIUS (Remote Authentication Dial-In User Service) et en configurant ce dernier afin qu'il fonctionne avec Active Directory ou le connecteur AD.

Comment mes employés peuvent-ils faire leurs premiers pas avec AWS SSO ?

Pour leurs premiers pas avec AWS SSO, les employés peuvent accéder au portail utilisateur d’AWS SSO qui est généré lorsque vous configurez votre annuaire dans AWS SSO. Si vous gérez vos utilisateurs dans AWS SSO, vos employés peuvent s'inscrire depuis le portail utilisateur en utilisant l'adresse e-mail et le mot de passe qu'ils ont configurés avec AWS SSO. Si vous vous connectez sur un compte Microsoft Active Directory, vos employés peuvent se connecter sur le portail utilisateur avec leurs noms d’utilisateurs et mots de passe sur Active Directory et voir les comptes et applications qui leur sont attribués. Pour accéder à un compte ou à une application, les employés sélectionnent l'icône correspondante depuis le portail utilisateur AWS SSO.

Existe-t-il une API pour AWS SSO ?

Non. Vous pouvez utiliser la console AWS SSO pour effectuer toutes les opérations nécessaires.

Prêt à vous lancer ?

S'inscrire à AWS Single Sign-On
D'autres questions ?
Contactez-nous